GDPR - Strømselskap

[simen929]

Hei,

Jeg er med i en gruppe på facebook som omhandler strøm og priser rundt dette.

I går kom det en interessant post som jeg synes er meget interessant. Ikke nødvendigvis fordi den medfører at man kan spare penger, men fordi det for meg ser ut som det faktisk er en exploit i måten selskaper bruker kampanjer mot forbrukere som kan utnyttes helt lovlig av oss forbrukere.

Sitat

GDPR og Agva Kraft

(oppdatering: Klage sendt til Forbrukertilsynet. Saksnummeret er XXXXXX i tilfelle du opplever det samme, så kan du henvise til det saksnummeret og skrive egen klage).

Jeg fikk avslag på å bli ny kunde hos Agva Kraft. Avslaget var ikke begrunnet med noe annet enn en "helhetsvurdering".

Flere andre har motatt det samme avslaget, og jeg har snakket med Bjørn Gaarder Arctander (styremedlem i Agva Kraft) på telefon. Jeg har også sendt ham oversikten over min dialog med Agva Kraft.

Mange her i gruppen er litt usikre på dette med GDPR/personvernlovgivning og om et firma kan nekte deg å bli kunde.

Her er min epost til Bjørn Gaarder Arctander idag (torsdag den 2. september). Denne gir deg svar på både GDPR og om et selskap kan avslå deg som kunde:

---

Hei Bjørn,

Jeg fikk ikke noe svar fra deg om saken igår.

Jeg har oppdaget at det er flere kunder som har fått samme svar fra Agva, og vi har sammen startet en dialog med Datatilsynet.

Datatilsynet er klare på at fakturainformasjon kun kan brukes regnskapsmessig og ikke til salg. Det vil si at dere ikke har noen juridisk begrunnelse for å sjekke tidligere fakturaer for å se om noen har vært kunde før.

Dere kan kun sjekke kunderegisteret, hvor kunden har gitt samtykke om å bli lagret. Ved at en kunde trekker tilbake sitt samtykke vil dere måtte slette denne informasjonen.

Det vil si at dere ikke kan bruke argumentet med at den potensielle kunden har vært kunde tidligere ved å referere til en faktura. Dere kan selvfølgelig gjøre det, men det vil medføre et gebyr fra Datatilsynet og en gjennomgang av rutinene deres. Basert på mine egne erfaringer anbefaler jeg ikke et kaffeslabberas med Datatilsynet.

Ti prosent av omsetningen er lite hyggelig som gebyr på brudd. Dessuten medfører det pressedekning som ei er å anbefale.

Hvis dere ikke skal argumentere for at dere tror at jeg har vært kunde før, så blir det problemer med diskriminering.

Dere er juridisk pliktet til å begrunne et avslag fra en kunde. Ref: https://www.altinn.no/.../forbud-mot-diskriminering-av.../

Utfordringen her blir å finne noe dere kan bruke som grunnlag. Dere kan ikke bruke min religion, hudfarge eller funksjonsnedsettelse. Jeg mistenker at dere heller ikke har grunnlag for å si at dere ikke selger til kunder som har fornavn som begynner med "T" eller andre kreative løsninger.

Slik diskriminering kan straffes med fengsel i opptil seks måneder. Etter å ha sett "Petter i fengsel" har jeg forstått det slik at Halden fengsel er å foretrekke.

Med vennlig hilsen,

XXXXXXXXXXXXXXXXXXXXXXXXXXXXX

 

Jeg har valgt å sensurere personen som postet dette, selv om han har gjort det på ett offentlig forum. 

 

TLDR; Ved å benytte GDPR og "glem meg" funksjonen som ligger i dette kan man utnytte kampanjer annenhver måned, som i utgangspunktet er ment å bli benyttet èn gang, eller årlig.

Spørsmålet er - Er dette innafor? For meg ser det jo helt logisk ut med tanke på GDPR og hvor strengt dette er. Samtidig er det vel et push på strømleverandørene fordi oppfattelsen er at mange ikke følger GDPR slik de skal.

[Herr Brun]

Det som står om diskriminering er teknisk sett riktig, men samtidig bare tull. Det er ikke noen generell begrunnelsesplikt etter diskrimineringslovverket, og for å ta det konkrete eksempelet: Dersom den næringsdrivende ikke vet at du har en funksjonsnedsettelse (eller hvilken religion eller hudfarge du har, med den viktige presiseringen at det heller ikke kan diskrimineres basert på antatt religion eller hudfarge som igjen er basert på navn, som den næringsdrivende ofte har), så er det ikke mulig at du har blitt diskriminert på grunn av dette. Det er ikke slik at alle med en funksjonsnedsettelse (eller alle som bekjenner seg til en eller annen religion) har krav på å bli kunde. 

At en ny kunde har vært kunde før er ikke noe som kan komme inn under noe diskrimineringsgrunnlag, men et helt saklig grunnlag å nekte (enkelte typer) kundeforhold på. 

Det som står om GDPR er muligens riktig, men de lærde strides. Hvis strømselskapet er åpne om at de mener å ha et legitimt behov for å innhente og lagre og sjekke opp navn på kunder, også tidligere kunder, for å kontrollere om de kvalifiserer for tilbud i fremtiden, kan det være grunnlag for å nekte å slette data basert på en vurdering av strømselskapets legitime interesser. Retten til å bli glemt gjelder bare dersom det ikke finnes behandlingsgrunnlag/behandlingsgrunnlaget ikke lengre gjelder. Jeg er usikker på om det finnes tilsynspraksis på om det er tillatt å opprettholde en database med tidligere kunder i noe tid etter avslutning av kundeforholdet, men jeg tipper Datatilsynet bare har spurt på det spesifikke spørsmålet TM har stilt til dem, nemlig om de kan bruke faktura for å vurdere om du skal få bli kunde på nytt 

Det er nemlig riktig at faktura ikke kan brukes som grunnlag for å kontrollere om kunden tidligere har vært kunde. Data som innhentes og lagres med grunnlag i lovpålagte plikter kan kun brukes for å oppfylle de lovpålagte pliktene. 

[Gjest 6e0ad...5a5]

Personopplysninger skal kun brukes til de formålene de samles inn for, og ikke brukes/behandles på en måte som er uforenelige med disse formålene. Om personopplysningene samles inn med formålet om å verve nye medlemmer blir spørsmålet om det er forenelig med det opprinnelige formålet å søke etter et eksisterende eller eldre kundeforhold for å forhindre misbruk. Jeg vil tro en slik forenelighetsvurdering heller mot ja i dette tilfellet, uten at det bør legges særlig tyngde i det svaret. 

Å ha en liste over tidligere kunder er ikke ulovlig, gitt at man har en legitim interesse for det. Eksempelvis for å forhindre svindel, misbruk eller kjøre winback-kampanjer. Oppbevaringstid og sletterutiner bestemmer bedrifter selv. Ofte er overgangen mellom "need to have" og "nice to have" en god indikasjon på at personopplysninger ikke lenger er nødvendig for formålet de behandles for, og skal derav slettes. Slettefrister skal dokumenteres.

"Glem meg funksjonen" er nok snevrere enn mange tror. Den gjelder primært dersom samtykke er brukt som behandlingsgrunnlag (noe som egentlig er ganske sjeldent) eller dersom formålet er opphørt. 

 

Anonymous poster hash: 6e0ad...5a5